A partire dal primo gennaio 2021 - termine che sancisce la fine del periodo transitorio e ufficializza la Brexit - i trasferimenti di dati verso il Regno Unito saranno trasferimenti di dati personali verso un Paese terzo. Quali saranno le conseguenze per i flussi di dati tra UE e UK post 31 dicembre 2020?
La disciplina
A partire dal primo Gennaio 2021, il Regno Unito non sarà più vincolato alle discipline comunitarie, anche se con le dovute precisazioni: ai sensi del GDPR, infatti, il Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
Pertanto, anche se il Regno Unito lascerà definitivamente l'UE, in determinate circostanze i suoi operatori economici saranno comunque tenuti a rispettarne i principi.
Il nuovo Data Protection Act
Sono stati presentati alcuni emendamenti al testo inglese che apporteranno modifiche tecniche mirate ad approssimare la normativa nazionale al GDPR. Si crede che tali emendamenti verranno apportati anche e soprattutto in ragione dei copiosi trasferimenti di dati tra UE e UK. Tra le modifiche più rappresentative, il ricorso alle stesse definizioni di dati personali, responsabili del trattamento, diritti delle persone interessate, persone autorizzate al trattamento e basi giuridiche per il trattamento.
Il trasferimento dei dati
Si rammenta come il GDPR fornisce, al capo V, diversi strumenti per disciplinare i trasferimenti di dati dall'UE verso un Paese terzo, tra i quali si annovera la “decisione di adeguatezza”. Orbene, la Commissione europea ha da tempo avviato i lavori per la verifica delle condizioni di cui all'art. 45, par. 2, del GDPR per la pronuncia di una decisione di adeguatezza ma ad oggi non sembra essere pervenuta ad alcun risultato. In mancanza di tale decisione, il titolare del trattamento o il responsabile del trattamento potrà trasferire dati personali verso un Paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate ea condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
La situazione attuale
Con la fine del tempo utile a disposizione dell'UE per concedere al regime di protezione dei dati del Regno Unito l'“ decisione di adeguatezza ”, onde evitare il rischio di un'impasse, i negoziati Londra - Bruxelles stanno tentando di addivenire ad una soluzione temporanea, ovvero quella di prorogare per ulteriori 6 mesi per garantire più tempo per effettuare la valutazione di adeguatezza. A titolo precauzionale, gli stessi raccomandano agli operatori di attuare meccanismi legali alternativi, come le SCC, per continuare a trasferire i dati personali.Sebbene l'accordo di recesso UE-UK preveda che, al venir meno di una decisione di adeguatezza, comunque, il Regno Unito garantirà un livello di protezione dei dati personali equivalente a quello previsto dal diritto dell'Unione, si ritiene ad ogni modo opportuno, raccogliere la formale garanzia dell'importatore, fermi i controlli sulle misure tecniche tracciate dall'EDPB sui trasferimenti in cloud.
Avv. Chiara Benvenuto e dott. Niccolò Olivetti
